Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Frederic Petitjean

Mails versleutelen moet simpel worden voor iedereen

Een ex-medewerker van de NSA wil met zijn bedrijf Virtru het versleutelen van e-mails ook mogelijk maken voor niet-techneuten.

Hoewel e-mail waarschijnlijk nog altijd de meest gebruikte internettoepassing is, ligt de veiligheid ervan op ongeveer hetzelfde niveau als die van de goede, oude postkaart. In tegenstelling tot postkaarten echter, hangen heel wat bedrijven voor een groot deel af van hun mailverkeer.

Toen e-mail werd ontworpen, was veiligheid niet het grote aandachtspunt. Dat het gewoon werkte, vond men destijds veel belangrijker. De tijden zijn echter veranderd. Door de constante berichtgeving over spionagepraktijken door overheden, zien verschillende ondernemingen brood in het beveiligen van mail. Wickr en Silent Circle bijvoorbeeld willen het encrypteren van mails makkelijker maken.

[related_article id=”161920″]

Ex-NSA
Nog een andere initiatiefnemer is Virtru, een bedrijf uit Washington dat door John en Will Ackerly werd opgericht. John (38) komt uit de financiële wereld, Will (34) belandde na de universiteit bij…de NSA. Ook hun jonge onderneming wil mailencryptie, dat soms behoorlijk lastig in te stellen is, een stuk gebruiksvriendelijker maken.

“Met Virtru kan je iedereen versleutelde mails sturen”, zegt Will Ackerly. “En je bestemmeling kan ze lezen zonder dat hij een ingenieur in de computerwetenschappen hoeft te zijn.”

Het grote voordeel van Virtru is dat de software naadloos samenwerkt met de webinterfaces van Gmail, Outlook en Yahoo, zonder dat er een aparte client aan te pas hoeft te komen. Volgens Will was dat een serieuze technische uitdaging.

Onmiddellijke encryptie
Boodschappen die in een mailtje worden ingetikt, worden onmiddellijk versleuteld, zodat GMail, dat regelmatig een kopie van een boodschap opslaat, alleen de geëncrypteerde inhoud ziet. Het encrypteren gebeurt ook volledig op de pc of het mobiele apparaat van de verzender.

Wie een boodschap verstuurt, moet een browserextensie installeren, die de boodschappen versleutelt en weer tevoorschijn haalt. Een boodschap lezen kan ook zonder extensie, meteen in de browser.

De mails worden door Virtru versleuteld met TDF (Trusted Data Format). Will schreef er in 2008 een paper over, terwijl hij nog bij de NSA werkte. Dit openbronformaat is vergelijkbaar met een soort geheim zipbestand en wordt veel door de Amerikaanse inlichtingendiensten gebruikt. In tegenstelling tot bijvoorbeeld PGP kan je met TDF ook bijlages versleutelen.

Waar is de sleutel?
Boodschappen versleutelen is een goed begin, maar daar eindigt het niet mee. De Amerikaanse mailprovider Lavabit, bij wie Edward Snowden waarschijnlijk klant was, verloor onlangs een rechtszaak tegen de Amerikaanse overheid en werd gedwongen om zijn SSL-sleutels (Secure Sockets Layer) over te dragen.

Die sleutel beveiligde de communicatie tussen de klanten van Lavabit en zijn servers. De Amerikaanse overheid kon zo niet alleen Snowdens mails lezen, maar die van alle Lavabit-klanten. Wat uiteraard tot een hoop commotie leidde.

Om dat probleem op te lossen, gebruikt Vertru het ‘elliptische curve Diffie-Hellmann-sleuteluitwisselingsprotocol’ - goed voor minstens 100 punten in Scrabble. Dat komt erop neer dat er een nieuwe sleutel gegenereerd wordt, telkens wanneer een gebruiker een nieuwe mail stuurt. Na elke sessie is die sleutel opnieuw waardeloos. Zelfs als de sleutel prijsgegeven moet worden, aan een hacker of een overheidsinstelling, “kunnen er geen oudere mails mee gelezen worden”, zegt Will Ackerly.

Gerechtelijke strijd
Nog een belangrijk punt is de vraag wie de sleutels bijhoudt. Op dit moment gebruikt Virtru een centrale server die de sleutels onder de ontvangers verdeelt, zodat ze hun binnenkomende mails kunnen lezen.

Je kunt je dus afvragen hoe strijdvaardig Virtru zal zijn als er een gerechtelijk bevel komt, om die sleutels op te geven. Het bedrijf heeft nu al geld opzij gezet om zulke rechtszaken op te vangen. Virtru is ook bereid om ‘bulkaanvragen’ voor mails of ongerechtvaardigde aanvragen aan te vechten, zegt Timothy Edgar, een adviseur die betaald wordt door Virtru en die werkt als adjunct-professor in recht aan het Georgetown University Law Center.

“We hopen natuurlijk dat het nooit zover komt”, aldus Edgar, die ook privacy-expert is.

Er zijn daarnaast nog plannen om organisaties de mogelijkheid te bieden hun eigen servers op te zetten met de software van Virtru. IT-managers die slapeloze nachten hebben dat de encryptiesleutels ergens anders liggen, moeten zo gerustgesteld worden.

Deze boodschap vernietigt zichzelf
Een centrale server biedt echter ook voordelen: een Virtru-gebruiker kan de toegang tot een boodschap blokkeren, door de sleutel weg te halen (hoewel de ontvanger nog altijd een screenshot kan maken gedurende de tijd dat hij nog toegang had). Op die manier kan je bijvoorbeeld ook boodschappen sturen die na verloop van tijd automatisch onleesbaar worden. Ontvangers die berichten doorgestuurd krijgen, kunnen ze ook niet lezen tenzij ze daartoe geautoriseerd worden.

Gratis en betaald
De basisfuncties van Virtru - mails versleutelen, na bepaalde tijd onleesbaar maken en controle over het doorsturen van boodschappen - zullen altijd gratis blijven, zegt John Ackerly. Het bedrijf hoopt wel geld te verdienen door zijn beheersoftware in licentie te geven aan bedrijven en ook andere beheer- en toegangsvirtualisatiesoftware voor versleutelde mail aan te bieden. Mobiele clients voor de software komen er ook aan, voor iOS en Android.

De achtergrond van Will Ackerly bij het NSA zou voor opgetrokken wenkbrauwen kunnen zorgen, dat beseft Virtru ook. Will werkte acht jaar bij de NSA en vertrok zo’n tien maanden voor de eerste lekken van Snowden in juni 2013.

Openbron
Om alle verdenkingen uit te sluiten, zal Virtru de broncode van zijn extensies en beheersoftware vrijgeven. Op de blog van het bedrijf staat ook een uitgebreide openbronstrategie voor nog andere software.

Joseph Lorenzo Hall, chief technologist van de denktank Center for Democracy and Technology, zegt dat de mensen binnen de NSA, de codebrekers en degenen die beveiligingen kunnen kraken, ook in de beste positie zitten om veiligere software te bouwen.

“Ze zijn ongeveer de enige hoop die we hebben”, aldus Hall. 

(Beeld: Stocksnapper)

beveiligingBeveiligingencryptiemailnieuwsversleutelen
Frederic Petitjean

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business